La sanction assurément salée de la CNIL contre AG2R LA MONDIALE

1,75 millions d’euros d’amende pour manquement aux obligations relatives aux durées de conservation des données et à l’information des personnes :

 La sanction assurément salée de la CNIL contre AG2R LA MONDIALE

Le 22 juillet dernier, la CNIL rendait publique cette sanction exceptionnelle prononcée par sa formation restreinte à l’encontre de la Société de groupe d’assurance mutuelle (SGAM) « AG2R LA MONDIALE ».

Cette entité assure environ 15 millions de personnes en France. Elle collecte auprès d’eux autant de données à caractère personnel au motif que « Bien vous connaître, c’est bien vous assurer », selon le slogan adopté par la Fédération Française de l’Assurance.

Pour autant, cette intention louable ne saurait placer ces organismes d’assurance au-dessus des règles fondamentales en matière de protection des données, ce que rappelle la CNIL dans sa délibération du 20 juillet 2021.

(à retrouver en intégralité sur : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043829617?isSuggest=true)

  • Sur le manquement à l’obligation de limiter la durée de conservation des données

L’article 5 1° e) du RGPD impose de ne conserver des données à caractère personnel que pour une « durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

A ce sujet, la CNIL a émis ses propres recommandations concernant le secteur spécifique de l’assurance.

Elle distingue :

  • Les données à caractère personnel des prospects d’une part,

Qui peuvent être conservées pour une durée de trois années à compter du dernier contact positif avec la personne concernée (envoi ou réponse à un mail, ouverture d’une page internet par le biais d’un lien envoyé, etc.).

  • Les données à caractère personnel des clients d’autre part,

Dont les durées de conservation tolérées varient selon le type de contrat (accidents et risques, épargne, retraite supplémentaire ou prévoyance par exemple) et selon les obligations légales auxquelles sont soumis les organismes d’assurance (notamment les délais de prescription prévus par le Code des assurances et le Code du commerce).

Si le référentiel défini par AG2R LA MONDIALE fixait les durées de conservation des données conformément à ces préconisations, un contrôle sur place de la CNIL révélait que cette politique interne n’était pas concrètement mise en œuvre au sein de ses systèmes d’information.

Autrement dit, tout était beau sur le papier mais bien moins en pratique…

En réalité, les données de près de 3 500 prospects n’ayant plus eu de lien avec la société depuis trois voire cinq années étaient encore présentes dans l’application dédiée à la prospection commerciale d’AG2R LA MONDIALE.

Quant aux clients de l’assureur, les données personnelles de millions d’entre eux ont été conservées au-delà des délais fixés par les dispositions légales applicables, ou sans que AG2R LA MONDIALE ait été en capacité de justifier de telles durées de conservation (parfois supérieures à 30 ans et concernant des données particulières ou sensibles : identité, coordonnées bancaires, santé, etc.).

  • Sur le manquement à l’obligation d’information des personnes

Les articles 13 et 14 du RGPD imposent de fournir aux personnes concernées différentes informations concernant la collecte de leurs données personnelles et le traitement ultérieur qui en sera fait : finalité du traitement, base juridique, identité et coordonnées du responsable de traitement, catégories de données recueillies, ses droits en matière de protection de ses données, destinataires des données, etc.

Or, le contrôle opéré par la CNIL au sein de la société AG2R LA MONDIALE a révélé de nombreux manquements à ce sujet, commis par deux de ses sous-traitants en charge d’une partie de ses opérations de prospection téléphonique.

Pour rappel, le responsable de traitement (ici AG2R LA MONDIALE) est tenu de s’assurer du respect des règles de sécurité et de confidentialité des données traitées par ses sous-traitants.

Les deux sociétés délégataires s’abstenaient d’indiquer aux personnes démarchées que leurs appels étaient susceptibles d’être enregistrés et qu’elles avaient la possibilité de s’opposer à cet enregistrement.

Les clients et prospects concernés n’étaient d’ailleurs pas informés des caractéristiques du traitement de leurs données personnelles envisagé, ni de leurs autres droits.

Ils n’étaient pas davantage mis en mesure d’obtenir ces informations ultérieurement (par renvoi vers un site internet, une boîte vocale ou par l’envoi d’un e-mail par exemple).

MAIS SURTOUT…

Si la CNIL indique avoir pris bonne note des démarches entreprises par AG2R LA MONDIALE avant la date de sa délibération (suppression de données de clients, processus d’anonymisation…), elle estime que les manquements relevés en termes de conservation de données et d’information des personnes étaient caractérisés lors de son contrôle sur place.

Elle justifie ainsi la sévérité de l’amende prononcée, faisant fi des rectifications apportées depuis par AG2R LA MONDIALE.

Cette décision s’inscrit dans le sens des nouvelles positions de la CNIL, qui tend à mettre fin aux tolérances souvent octroyées aux entreprises.

La Commission envoie ici un message clair : elle peut s’attaquer au portefeuille des sociétés incapables de justifier de leur mise en conformité, ce même sans les avoir préalablement mises en demeure de corriger leurs pratiques.

Finies les secondes chances donc !

Outre l’impact financier de ces contrôles, la publication des sanctions prises par la CNIL affecte la réputation de votre entreprise

Depuis plus de 15 ans, RGPD-Experts accompagnent les organismes dans leurs démarches de conformité en s’appuyant sur son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivez et démontrez votre conformité à l’autorité de contrôle. Notre mission, vous simplifier le développement de vos activités sereinement et vous permettre d’accroître votre CA.

Par LH

En Allemagne, Doctolib a transmis des données à Facebook et Outbrain

La plateforme de prise de rendez-vous, recommandée par le gouvernement français, a reconnu utiliser des cookies transmettant notamment les mots-clés recherchés des utilisateurs allemands pour mesurer l’efficacité d’une campagne marketing. Elle assure qu’aucune donnée de santé n’a été concernée.

La société Doctolib, société de droit français, est soumise au RGPD comme toutes entreprises européennes. Elle se doit de respecter le Règlement Européen des utilisateurs dont elle traite les données.

Doctolib nous dit ne pas avoir transmis de données de santé à Facebook et Oubrain. Le paragraphe relevé dans l’article des échos nous dit l’inverse.

« Ces informations, transmises sous forme d’URL, contenaient notamment la retranscription des recherches effectuées par les utilisateurs allemands sur la plateforme. Pouvaient apparaître la spécialité médicale recherchée (neurologue, psychologue, etc.), mais aussi l’adresse IP – le numéro d’identification unique – de l’appareil utilisé. »

On y retrouve les détails suivants : spécialité médicale et adresse IP. Le croisement de ces deux données permet d’en déduire pour une personne une pathologie potentielle en fonction de la spécialité du praticien. (Une adresse IP est une donnée à caractère personne)

La direction de Doctolib nous fait remarquer :´

« Il s’agissait de cookies génériques ne collectant que des informations standards […] et en aucun cas des données de santé », précise-t-elle, les mots-clés recherchés par les utilisateurs n’étant pas considérés légalement comme des données de santé. »

Ce qui est en contradiction avec les informations venues d’Allemagne.  (Cf : premier paragraphe). Contrairement à la communication de Doctolib. Malheureusement Doctolib, semble ne pas avoir bien intégré que la définition d’une donnée de santé est très large et que la réalité du terrain démontre que les données transmises par les cookies sont belles et bien des données sensibles au titre de l’article 9 du RGPD.

Concernant le dépôt de cookies, là encore la plateforme précise dans son communiqué :

«Avoir agi en totale conformité avec le RGPD », puisque l’accord était demandé à l’utilisateur, mais reconnaît qu’il est complexe pour les utilisateurs de comprendre clairement l’impact de leur consentement à un cookie. Pour cette raison, Doctolib « a pris la décision de stopper toute utilisation de cookies marketing externes sur nos services en Allemagne » et précise s’être assuré que les données concernées ont bien été supprimées par Facebook et Outbrain. »

Pourquoi avoir décidé de stopper suite à cette diffusion en Allemagne et ne pas avoir mis de cookie en France ?

Doctolib assure « Nous n’utilisons aucun cookie externe sur note site en Français comme sur nos applications mobiles et n’en utiliserons jamais ».

Sans doute par ce qu’en France les exigences de la CNIL en matière de cookie font que cela serait bel et bien jugé comme non conforme. Sans doute est-il bon de rappeler à Doctolib qu’ en tant qu’Autorité chef de file, suite à des plaintes déposées en Allemagne, c’est la CNIL qui sera chargée d’effectuer les contrôles nécessaires.

Au final Doctolib a décidé de ne plus déposer de cookie en Allemagne, pour nos beaux yeux sans doute ?

« Pour cette raison, Doctolib « a pris la décision de stopper toute utilisation de cookies marketing externes sur nos services en Allemagne » et précise s’être assuré que les données concernées ont bien été supprimées par Facebook et Outbrain. »

Nous rappelons également à Doctolib que c’est au responsable de traitement de prouver que toutes les mesures techniques et organisationnelles ont été mises en œuvre afin de sécuriser et transférer les données. Le simple fait de dire s’être assuré n’est pas en soi une preuve de la réelle destruction des données. Mais plus grave encore, transmettre des données santé ou pas à Facebook n’est pas conforme depuis l’arrêt Shrems 2 du 16 juillet 2020, quand bien même ces données seraient stockées en Europe. La loi FISA américaine permettant aux agences fédérales américaines (donc à l’État américain) de réclamer toutes les données qu’ils veulent et en exigeant de la part des sociétés le silence absolu sur la demande faite.

Nous terminerons en rappelant que les données de prise de RDV de vaccination Covid 19 sont traitées en partie par Doctolib. Je vous laisse évaluer le bien-fondé de passer par une société qui réalise son chiffre d’affaires avec vos données y compris de santé.

Votez pour moi !

Votez pour moi qu’il disait, votez pour moi !

 

Votre entourage ou vous-même avez peut-être reçu ce type de SMS ou de message, et vous êtes loin d’être les seuls.

Un seul objectif, être élu et ils utilisent tous les moyens possibles sans toujours (rarement) se poser la question de la légalité et de la conformité, un comble pour un élu censé respecter les lois votées au parlement et au Sénat !

 

Vous en revanche, vous vous posez les questions :

 

  • A-t-il le droit
  • D’où proviennent les informations (téléphone, mail, …) qu’il a sur moi
  • Que puis-je faire

 

Nous allons tenter de vous répondre sur ces 3 questions,

 

En réponse à la première question, si celle-ci est oui, il a le droit, en revanche, il ne peut pas le faire n’importe comment et, la CNIL, nous rappelle les éléments suivants dans le cadre de la communication politique.

 

  • Les fichiers qui peuvent être utilisés À des fins de communication politique doivent respecter les règles de la protection des données (notamment le respect de la ou les finalité(s) du fichier concerné, la pertinence des informations collectées, une durée de conservation limitée des données et la confidentialité et la sécurité de celles-ci).

Bien entendu, ces fichiers, ne peuvent contenir votre orientation politique sans que vous en ayez été informés et avez donné votre accord à la collecte de cette information classée « sensible » au sens du RGPD.

 

Il doit également s’assurer de la conformité de la collecte des données qui lui ont été vendues ou fournies par son prestataire (si tel est le cas) et plus particulièrement le fait que ces données ont été collectées avec comme finalité ou sous-finalité l’utilisation à des fins de communications politiques et que vous avez été informés préalablement de cette possible destination de vos données et que vous avez consenti à l’utilisation des données pour ces finalités.

 

À la deuxième question, à savoir la provenance des données vous concernant, là encore la CNIL précise :

  • Les candidats sont tenus d’informer correctement les destinataires de leurs messages de prospection politique. Ainsi, l’origine des données utilisées pour démarcher un électeur doit notamment lui être précisée lorsque les données ne sont pas collectées directement auprès de lui.
  • Et plus particulièrement, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public (les listes électorales par exemple).

Cette information devra intervenir dans un délai raisonnable après avoir obtenu les données personnelles et au plus tard au moment de la première communication à la personne concernée. Si le responsable de traitement (un parti politique par exemple) envisage de communiquer les informations à un autre destinataire (les candidats à des primaires internes au parti par exemple), il doit alors informer les personnes concernées au plus tard lorsque les données sont transmises au destinataire pour la première fois.

Enfin en ce qui concerne la troisième question, l’autorité de contrôle, la CNIL, précise :

 

  • Quel que soit le moyen de communication utilisé, les personnes contactées doivent pouvoir exercer leurs droits (notamment d’opposition) aussi simplement que possible : ces demandes doivent être traitées dans les meilleurs délais, et au plus tard sous un mois pour le droit d’accès.

Il ne faut donc pas hésiter, bien au contraire, à vous manifester auprès du candidat pour exercer à minima, en vertu de l’article 15 du RGPD, votre droit d’accès, mais également vos autres droits.

 

Il vous faut pour cela, contacter le candidat par n’importe quel moyen, courrier, mail, téléphone et demander conformément à cet article 15, communication de l’ensemble des informations en sa possession, avec copies éventuelles des documents que vous auriez rempli, la preuve que vous avez été informés du fait que ces données pourraient être utilisées à des fins de communication politiques, les coordonnées de l’origine des données, la base légale utilisée dans le cadre de cette collecte et votre consentement à l’utilisation de vos données dans ce cadre si la base légale évoquée est le consentement. Si une autre base légale est évoquée notamment l’intérêt légitime charge alors à lui de prouver cet intérêt.

 

N’hésitez pas non plus à exercer votre droit d’opposition à l’utilisation de vos données et qu’il lui est demandé également de transférer cette demande également à son fournisseur mais également au parti qu’il représente si les informations sont communes à plusieurs candidats du parti.

 

Pensez si besoin, à utiliser le lien de la CNIL pour signaler un manquement à leurs obligations légales en matière de respect des droits https://demarche.services.cnil.fr/signalement-elections/

 

Et enfin si rien de tout cela n’aboutit ou cela ne correspond pas à vos demandes, n’hésitez pas à saisir la CNIL et à déposer plainte à la CNIL. Certes une plainte ne suffira sans doute pas à diligenter un contrôle mais force reste aux nombres et dites-vous que vous n’êtes certainement pas le seul.

 

Pour terminer, et cela est valable pour toutes les collectes de vos données

 

  • Lisez ce que vous allez signer et notamment les clauses particulières, même si elles sont écrites en tout petit (il y a certainement une raison pour écrire en tout petit).
  • Ne consentez qu’en toute connaissance de cause les demandes faites de collecte de données que ce soit par internet ou sur un document.
  • Fuyez comme la peste tous documents sans la présence des mentions légales obligatoires et tous formulaires internet similaires.
  • Vérifiez les mentions légales sur les sites internet ainsi que la politique de confidentialité si les mentions légales ne contiennent pas cette politique. Vous devez au moins retrouver les finalités des collectes, les durées de conservation, les droits que vous avez sur les données que vous confiez, les bases légales utilisées par traitement.
  • Si vous trouvez sur ces mentions des informations comme celles-ci
    • Allusion aux articles 34 en ce qui concerne les droits qui ne sont plus en vigueur depuis 2004 !!!
    • Allusion aux articles 38 à 40 toujours en ce qui concerne les droits qui ne sont plus en vigueur depuis 2018.
    • L’information disant que la liste, le fichier, le site a été déclaré à la CNIL, ces demandes ont disparu depuis 2004.
    • Que vous ayez un droit de suppression (celui-ci n’a jamais existé)
    • Que ce site ne collecte aucune donnée (ha bon et l’adresse IP alors) et que donc il n’a pas à être déclaré à la CNIL (cf. point au-dessus).

 

Eh bien fuyez celui-ci et ne lui communiquez aucune information réelle. Cela montre au mieux que les mentions ne sont jamais relues et modifiées en conséquence, et donc que le responsable de l’organisme se fout du sort réservé à vos données. Au pire que malgré tout ce qui sera ensuite dit sur sa conformité au regard du RGPD risque de n’être que de l’apparence. Ceci est encore plus vrai si un DPO est mentionné dans les mentions, politique ou autres, vous pouvez alors vous poser la question de savoir s’il vient juste d’arriver (OK il lui faut un peu de temps pour modifier ou faire modifier toutes ces erreurs), s’il s’agit juste d’un nom pour répondre à une obligation légale ou encore pire, s’il connaît vraiment le RGPD ou s’il le pratique réellement.

 

Deux liens supplémentaires pour vous aider dans cette situation de sollicitation non demandée.

 

https://www.cnil.fr/fr/elections-departementales-regionales-regles-plan-action

 

https://www.cnil.fr/fr/elections-municipales-la-cnil-rappelle-les-regles-respecter-avant-le-second-tour

 

La Cnil déconseille certaines applications comme Teams et Zoom pour les cours en visio

La Cnil déconseille certaines applications comme Teams et Zoom pour les cours en visio

Invitée par les établissements d’enseignement supérieurs à se prononcer sur la sécurité des outils de visioconférence américains utilisés pour les cours, la Cnil a préconisé des « évolutions dans l’emploi de ces outils « gratuits »». La commission a mis en avant la nécessité de se protéger contre le transfert non souhaité de données sensibles vers les États-Unis.

La Cnil a recommandé la plus grande vigilance aux enseignants et élèves utilisant des outils de visioconférence dont le siège est aux Etats-Unis (les lois d’extraterritorialité telles que FISA ou le Cloud Act ne permettent pas non plus de stocker les données en Europe, de ce fait le critère retenu est bien le siège de la société). Ce qui est le cas de Zoom (comme expliqué dans sud-ouest) ou Teams, très populaires depuis la mise en place des confinements et du télétravail.

Dans son avis publié dimanche 27 mai, la commission a évoqué un « risque d’accès illégal aux données » personnelles des utilisateurs. Cette situation fait suite à l’invalidation le 16 juillet 2020 par la Cour de justice de l’Union européenne (UE) du « privacy shield ». Il s’agit du dispositif encadrant les échanges de données entre les États-Unis et l’UE.

La Conférence des présidents d’université et la Conférence des grandes écoles avaient saisi la Cnil au sujet de la sécurité des « suites collaboratives pour l’éducation ». L’autorité administrative a indiqué avoir eu connaissance de « transferts de données personnelles vers les États-Unis » via les outils de visioconférence. Elle s’est dit d’autant plus préoccupée que les informations échangées sont pour certaines « sensibles » et « particulières ».

Cette situation ne touche malheureusement pas seulement les universités et les grandes écoles, les entreprises sont également touchées par ces risques, de même que l’utilisation des cookies basés aux États-Unis comme Google Analytics à qui il faut préférer un outil tel que Matomo ou un autre.

Il existe un grand nombre de solution alternative aux applications Etats-Uniennes, ce sujet fera l’objet d’une autre publication spécifique le temps de regrouper suffisamment d’information.

AIVP vers la fin de la tolérance

Les lignes directrices de l’EDPB, les règles relatives aux traitements de données des utilisateurs de réseaux sociaux

Le Comité de Protection des données vient de publier la version adoptée de ses lignes directrices en matière de ciblage des utilisateurs de réseaux sociaux.

RGPD-Experts vous propose d’en prendre connaissance dans la langue de Molière.

Edpb Lignes Directrices 082020 Ciblage des utilisateurs des réseaux sociaux fr